skip to Main Content

Cybercrime, aumentano il rischi per il settore Energia

Cybercrime, Aumentano Il Rischi Per Il Settore Energia

di Pierguido Iezzi

Le cyber minacce verso il settore Energia sono in crescita: la conferma viene dagli attacchi DoS subiti dal provider americano sPower

Le cyber minacce verso il settore Energia sono in crescita. Lo conferma il caso di sPower. La storia non è recentissima, ma i dettagli sono emersi solo nelle ultime settimane. Un attacco da parte di un ancora non specificato gruppo del cybercrime ha rischiato di compromettere l’operatività del grande provider di energia eolica e solare americano. La società che opera nello stato dello Utah, si è improvvisamente trovata a subire una serie di perdite di connessione tra il suo centro di controllo centrale e i suoi siti di produzione da remoto. I periodi di disconnessione, all’inizio additati come semplici disservizi di rete, erano in realtà frutto di attacchi di Denial of service (DoS). Questo tipo di aggressione da parte dei criminal hacker avviene quando un singolo computer (o molteplici) vengono utilizzati per “inondare” un server bersaglio con pacchetti TCP e UDP. 

Cosa comporta un’aggressione cibernetica di questo tipo oggi

Durante un attacco DoS il bersaglio viene messo fuori servizio in quanto i pacchetti inviati sovraccaricano le capacità del server e lo rendono non disponibile ad altri dispositivi e utenti in tutta la rete. Questo tipo di aggressioni cibernetiche vengono utilizzate per spegnere singole macchine e reti, in modo che non possano essere utilizzati da altri utenti. Proprio come nel caso di sPower, peraltro primo caso individuato e registrato sul suolo americano. Il tipo d’incidente – noto nel settore come “loss of view” o perdita di visibilità – ha causato la perdita di visibilità da parte dei gestori di gran parte degli impianti di produzione eolici e solari. La causa dei crolli delle connessione era inizialmente stata addossata ad una serie di reboot (riavvii) del firewall, ma è successivamente emerso come un gruppo del cybercrime stesse sfruttando delle vulnerabilità non coperte sugli stessi proprio per mandare in crash la rete di comunicazione. 

L’attacco del cybercrime a sPower è l’inizio di un fenomeno più grave?

Anche se è vero che le capacità di produzione di elettricità della società erano rimaste inalterate, l’evento è comunque significativo per ciò che potrebbe inavvertitamente aver anticipato in ottica di futuri attacchi. Non è difficile pensare, infatti, come un attore intenzionato a colpire duramente una griglia dell’energia e a “spegnerla” possa proprio cominciare causando una perdita di visibilità. Rendendo gli operatori di fatto ciechi ai suoi successivi step (che potrebbero essere catastrofici come lo spegnimento dei relay di trasmissione). Questo approccio non è del tutto dissimile all’ormai arcinoto Stuxnet, uno dei primi cyber attacchi che a partire dal 2010 aveva preso di mira i dispositivi ICS del settore industriale. Certo, se nel caso di sPower un semplice crash del firewall può fare questi danni, è spaventoso pensare a cosa potrebbe riuscire a fare un attacco portato avanti da utenti più esperti e avanzati (o skillati, che dir si voglia). 

L’incidente insegna che è fondamentale comprendere la propria infrastruttura e le connessioni 

Il caso di sPower ha evidenziato la necessità di comprendere efficacemente la tua infrastruttura e le sue connessioni. Ciò non è mai stato più importante di oggi, se non sai cosa hai, dove si trova, quali vulnerabilità ha e come è configurato parti già in svantaggio, svantaggio che un aggressore motivato sarà felice di sfruttare. Il caso non è stato certo nello stesso ordine di grandezza degli attacchi – sponsorizzati dal governo russo – che nel 2015 avevano messo in ginocchio la rete elettrica ucraina o il già citato Stuxnet. Questo aveva preso di mira i sistemi di controllo industriali di tantissime aziende in svariati Paesi. Comunque, è l più grave accaduto sul suolo americano e sicuramente il più impattante mai registrato. 

La digitalizzazione del comparto Energia fa aumentare i rischi per la sua cyber security

È un dato di fatto che il settore dell’industria come quello dell’energia stiano spingendo molto verso la digitalizzazione – anche attraverso l’adozione delle così dette “smart utility” – ma questo ha conseguentemente innalzato notevolmente la quantità di rischi e possibili vulnerabilità a cui sono esposti. Se è vero che si farà sempre più affidamento a infrastrutture e reti IT integrate e collegate al lato operativo (di fatto integrando ancora di più l’OT e l’IT), dobbiamo anche considerare l’attacco a sPower come l’altra faccia della medaglia. È la concreta dimostrazione di uno spiccato innalzamento della frequenza degli attacchi, come accennato; frequenza proporzionalmente collegata al livello di digitalizzazione e iperconnessione del settore. I Criminal Hacker stanno diventando sempre più avanzati nei loro exploit, se oggi causano una perdita di visibilità già da domani saranno in grado di prendere il controllo delle reti.

Ecco come combattere questa minaccia in crescita ed evoluzione

Il mondo iper-connesso (e recentemente galvanizzato dalle novità introdotte con sistemi cloud e simili) dell’Industria 4.0 deve rendersi conto che questa intersezione tra IT e OT deve portare a uno scambio anche di nel modo in cui il primo interpreta la Cyber Security. Insomma, il lato dell’Operational Technology deve integrare tutte le Best practice da tempo adottate dal mondo IT: da una rigorosa attenzione alle ultime patch dei dispositivi connessi a Internet, a difese a più livelli (come la segmentazione granulare della rete) fino al monitoraggio continuo per rilevare rapidamente attività non autorizzate o sospette prima che i Criminal hacker possano causare danni reali alle attività.

Back To Top